NIS2 – Richtlinie

Was ist NIS2 & Wer ist betroffen?

NIS2 Richtlinie – für die Sicherheit von Netzwerk- und Informationssystemen

NIS2 ist eine zweite Iteration einer Richtlinie der EU, die sich mit der Network & Information Security beschäftigt. Hierzu wird von der EU vorgegeben, dass betroffene Unternehmen einen angemessenen Standard an Cybersicherheit (IT & Informationssicherheit) einhalten müssen. Bei Nichteinhaltung drohen Bußgelder, für die eine persönliche Haftung von Führungskräften festgelegt ist.

Die NIS2 Richtlinie ist bis zum Oktober 2024 umzusetzen.

Wichtig: Die Betroffenheit muss selbst ermittelt werden! Es wird hier keine Aufforderung oder Anmerkung von öffentlichen Stellen geben.

Kostenlosen Infotermin vereinbaren

Wer ist betroffen?

 

Unternehmen, die entweder mindestens 50 Mitarbeiter/innen beschäftigen oder einen Jahresumsatz von mindestens 10 Millionen EUR erzielen und zu den folgenden Branchen zählen, sind von den betreffenden Bedingungen betroffen.

 

Energie

Energie

Verkehr

Verkehr

Bankwesen

Finanzen

Gesundheit

Gesundheit

Wasser

Trinkwasser/ Abwasser

Digitale Infrastruktur

Digitale Infrastruktur, Digitale Anbieter

Telekommunikation

IKT-Dienstleistungsmanagement

Weltraum

Weltraum

Transport

Post- und Kurierdienste

Abfallwirtschaft

Abfallwirtschaft

Chemikalien

Herstellung, Produktion und Vertrieb von Chemikalien

Lebensmittel

Lebensmittelproduktion, -verarbeitung und – vertrieb

Produktion

Herstellung, Produktion von Medizinprodukten, Maschinen, Fahrzeugen sowie elektronischen Geräten

Forschung

Forschung

Was müssen Sie tun?

 

  • Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme;
  • Bewältigung von Sicherheitsvorfällen;
  • Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement;
  • Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern;
  • Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen;

 

 

  • Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit;
  • grundlegende Verfahren im Bereich der Cyberhygiene und Schulungen im Bereich der Cybersicherheit;
  • Konzepte und Verfahren für den Einsatz von Kryptografie und gegebenenfalls Verschlüsselung;
  • Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen;
  • Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung

 

Welche Konsequenzen drohen bei Nichteinhaltung?
Für wesentliche Einrichtungen betragen die Bußgelder 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes, für wichtige Einrichtungen sind die Bußgelder auf 7 Mio. EUR oder 1,4% des weltweiten Jahresumsatzes gedeckelt. Es wird bei den Unterscheidungen ob Fixbetrag oder Anteil des Umsatzes der jeweils größere Betrag angesetzt!

 

Zusätzlich wurde eine persönliche Haftung von Führungskräften eingeführt.

Schwachstellenscan